首页 > 其他分享 >防火墙

防火墙

时间:2024-11-01 16:59:37浏览次数:3  
标签:防火墙 rule FW1 policy dmz trust security

1.概念

防火墙是一种网络安全设备,用于隔离不同安全级别的网络,控制网络之间的通信。总的来说,防火墙的作用是允许流量通过,外网用户的访问需经过安全策略过滤,其中非法流量无法通过防火墙被隔断,内网用户可以直接通过防火墙对外网进行访问。

2.区域

防火墙区域划分可为内网、外网和DMZ三个区域,按照网络安全级别来说,三个区域的级别由高到低为:内网>DMZ>外网。
以华为设备为例,系统缺省已经有四个安全区域

  • 受信区域(Trust)
  • 非受信区域(Untrust)
  • 非军事化区域(DMZ)
  • 本地区域(Local)
    另外,网络管理员也可以自定义安全区域,从而实现更加细密的管理控制,自定义的区域安全级别是可以调节的。

3.工作模式

对于一个防火墙设备而言,若设备的每个接口都配有独立的IP地址,则防火墙工作在路由模式;若接口没有配置IP地址,则工作在透明模式;若部分接口有,部分接口没有,则工作在混合模式。

4.配置命令

[Huawei]firewall name zone-name \\firewall name命令后跟zone-name安全区域名称,创建安全区域,并进入安全区域视图
[Huawei]set priority security-priority \\set priority命令后跟security-priority安全级别,为新创建的安全区域配置安全级别,安全级别一旦设置不可更改
[Huawei]add interface interface-type interface-number \\add interface命令后跟interface-type interface-numberj接口名称,将相关的接口加入安全区域

划分内、外网、DMZ区域,并将接口加入其中

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.3.1 24
[FW1-GigabitEthernet1/0/1]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]quit
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip address 200.10.10.1 30
[FW1-GigabitEthernet1/0/2]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]quit
[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ip address 192.168.200.1 24
[FW1-GigabitEthernet1/0/3]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW1-zone-dmz]quit

设置安全放行策略
缺省情况下,local区域到其他安全区域的包过滤是开放的,域间安全策略指不同区域之间的安全策略。
1、配置Trust区域和Untrust区域的防火墙安全放行策略(内网可访问外网,外面不能访问内网)。

[FW1]security-policy
[FW1-policy-security]rule name trust-untrust
[FW1-policy-security-rule-trust-untrust]source-zone trust 
[FW1-policy-security-rule-trust-untrust]destination-zone untrust 
[FW1-policy-security-rule-trust-untrust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-untrust]action permit 
[FW1-policy-security-rule-trust-untrust]quit
[FW1-policy-security]quit

2、配置trust区域到DMZ区域的防火墙安全放行策略(内网可访问DMZ区域)。

[FW1]security-policy
[FW1-policy-security]rule name trust-dmz
[FW1-policy-security-rule-trust-dmz]source-zone trust 
[FW1-policy-security-rule-trust-dmz]destination-zone dmz
[FW1-policy-security-rule-trust-dmz]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-dmz]action permit
[FW1-policy-security-rule-trust-dmz]quit
[FW1-policy-security]quit
3、配置DMZ区域到trust区域的防火墙安全放行策略(DMZ区域可访问内网)。
```java
[FW1]security-policy
[FW1-policy-security]rule name dmz-to-trust
[FW1-policy-security-rule-dmz-to-trust]source-zone dmz
[FW1-policy-security-rule-dmz-to-trust]destination-zone trust 
[FW1-policy-security-rule-dmz-to-trust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-dmz-to-trust]action permit 
[FW1-policy-security-rule-dmz-to-trust]quit	
[FW1-policy-security]quit

4、配置DMZ区域到local区域的防火墙安全放行策略(DMZ区域可访问lcoal)。

[FW1-policy-security]rule name dmz-to-local
[FW1-policy-security-rule-dmz-to-local]source-zone dmz
[FW1-policy-security-rule-dmz-to-local]source-zone local
[FW1-policy-security-rule-dmz-to-local]destination-zone dmz
[FW1-policy-security-rule-dmz-to-local]destination-zone local
[FW1-policy-security-rule-dmz-to-local]action permit 
[FW1-policy-security-rule-dmz-to-local]quit
[FW1-policy-security]quit

5、进入防火墙的相关接口,通过service-manage all permit命令允许所有的协议通过(例如以上是四个接口分别是g1/0/0、g1/0/1、g1/0/2、g1/0/3)

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage all permit 
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]service-manage all permit 
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]service-manage all permit 
[FW1-GigabitEthernet1/0/2]int g1/0/3
[FW1-GigabitEthernet1/0/3]service-manage all permit 
[FW1-GigabitEthernet1/0/3]quit

标签:防火墙,rule,FW1,policy,dmz,trust,security
From: https://www.cnblogs.com/myLu01/p/18519037

相关文章

  • 防火墙
    防火墙配置三件事一:接口加入安全域(信任域、非信任域、dmz域)1、firewallzonetrust 进入信任区域   addintg1/0/1     添加信任区域接口  g1/0/1是连内网口2、firewallzoneuntrust  进入非信任域    addintg1/0/2       添加......
  • centos7 查看防火墙开放3306端口
    在CentOS7中,系统默认使用firewalld作为防火墙管理系统。要查看防火墙是否开放了特定端口(如MySQL的3306端口),您可以按照以下步骤操作:1.查看当前防火墙规则首先,您可以查看当前防火墙的规则,确认是否已经有3306端口被开放:sudofirewall-cmd--list-all这条命令......
  • 如何在Linux中配置防火墙
    在Linux中配置防火墙的步骤:1.使用iptables配置防火墙;2.使用Firewalld配置防火墙;3.配置其他防火墙选项。iptables是一个用于管理IPv4防火墙规则的工具,使用iptables配置防火墙的基本步骤:检查防火墙状态、允许或拒绝流量、保存规则。1.使用iptables配置防火墙iptables是一个用于......
  • 烽火光猫不要超密不改桥接的前提下关闭 ipv6 防火墙
    背景众所周知,运营商给的光猫默认都是带ipv6的防火墙的,会导致所有默认的入站流量都被丢弃;网上能找到的关闭ipv6防火墙的方法,主要有两种:获取超级管理员权限,然后在光猫后台中关闭ipv6防火墙;光猫改桥接,由路由器拨号,然后在路由器中关闭防火墙。然而,这两种方法随着光猫......
  • 如何在麒麟操作系统上进行网络代理和防火墙的设置
    ​在麒麟操作系统中设置网络代理及防火墙配置步骤:一、初始化网络代理设置;二、配置防火墙策略;三、检测与调试;四、常见问题及解决方法;五、网络安全建议。麒麟操作系统作为一款受到关注的国产操作系统,网络安全与代理设置同样显得尤为重要。一、初始化网络代理设置首先,我们需要进......
  • 网络安全——防火墙技术
    目录前言基本概念常见防火墙技术防火墙的主要功能防火墙的不足之处相关题目1.组织外部未授权用户访问内部网络2.DMZ区3.包过滤防火墙和代理服务防火墙前言这是在软件设计师备考时编写的资料文章,相关内容偏向软件设计师基本概念防火墙技术是网络安全领域中的一项关......
  • 从防火墙到无线网,如何全方位保障网络稳定?
     一、网络设备监控的重要性        网络设备是构建和维持网络正常运行的关键要素。如果这些设备出现故障,可能会导致网络连接中断、卡顿,影响众多业务与工作的正常开展。当路由器故障可能使整个网络与外部网络失去联系,而交换机故障则可能影响局域网内设备之间的通信......
  • firewall-cmd - 防火墙规则管理工具
    firewall-cmd-防火墙规则管理工具原创 点击关注-> 奶嘴很忙  2024年09月13日06:01 广东1、简介firewall-cmd 是一个用于管理防火墙规则的命令行工具。它是firewalld服务的主要命令行接口,用于配置和控制防火墙规则。firewall-cmd 允许系统管理员动态地添加......
  • 超越传统防火墙:全面的数据治理框架确保长期网络安全
    超越传统防火墙:全面的数据治理框架确保长期网络安全在数字化时代,数据已成为企业运营的核心驱动力,同时也是网络攻击的主要目标。传统的防火墙技术,虽然在一定程度上能够防御外部威胁,但面对日益复杂和隐蔽的攻击手段,已显得力不从心。因此,构建一个全面的数据治理框架,超越传统防火......
  • 网神SecGate 3600防火墙 app_av接口存在任意文件上传漏洞
     0x01阅读须知        技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用......